恶意格式条款 不是服务商的免责保护伞

　　SaaS服务商在与客户的服务协议中一般会约定客户对密码的保管责任，因密码泄露所造成的后果由客户来承担。这属于协议约定的SaaS服务商免责事由，SaaS服务商可以因此而拒绝承担SaaS客户端因密码问题所带来的客户数据丢失的任何法律责任。但是协议属于格式的合同，如果制订合同一方恶意免除自己的责任条款，此时的“格式条款”并不能作为服务商的免责保护伞。

　　在洪荣尧诉中国农业银行永嘉县支行一案中，法院认定了《中国农业银行网上银行业务章程》第六条“凡是凭客户证书和密码进行操作皆视为客户本人所为，银行不承担任何责任”这一格式条款作为银行的免责理由进行抗辩，把本属于银行承担的责任也推向储户属于无效条款。

　　但这一条的规定与目前工行电子银行服务协议中关于客户密码保管责任的规定不同，因为它“凡是凭客户证书和密码进行操作皆视为客户本人所为”，排除了银行的过错所造成的密码丢失，将此责任也推卸到客户身上。而工行的条款则是规定客户自身造成的密码丢失，责任由客户承担。农业银行现在已经修改了电子银行业务章程，此条规定已被废除，转而规定“因客户保管不善、挂失不及时等造成的资金损失由客户自行承担”。

　　同样，为了保障用户数据安全，SaaS服务商和客户都必须要承担一定的合同义务，而不能一味将义务强加到SaaS服务商身上。

　　比如，在我国《电子银行业务管理办法》第十条规定，在开通网上银行业务时银行有告知风险的义务。网银只需要尽到合理提示风险的义务，客户就需要履行妥善保管密码的义务，一旦疏于履行，造成的密码泄露，可能会造成资金丢失。

　　前述美国《电子资金转移法》规定，一旦储户存款在银行发生了问题，银行应先行赔付，而后由司法机关介入调查，从而保证了客户利益。这个规定目前被不少人用来作为网银赔付的一点理由，但是这里规定的是储户存款在银行发生了问题，而客户造成密码丢失是在银行控制范围之外，“偷窃者”以盗来的客户账号和密码造成银行做出错误动作，银行不应该承担责任。这也就是一种准债权人占有了债权凭证的情况。

　　SaaS服务商在处理用户密码的时候，也完全可以参照商业银行的方式来处理。充分告知用户密码安全性的重要，并将丢失密码容易遭受的损失也要告诉清楚。当一旦有用户密码被窃取或丢失的时候，SaaS服务商也要有相应的应急预案，以便在第一时间启动，将损失降到最低。

　　客户对于密码妥善保管的义务范围应该限制在客户尽到一般人的保管密码能力，也就是对于上网操作的计算机进行了基本而且必要的软硬件防病毒保护义务。在客户尽到了一般正常的注意义务和及时通知义务时，仍然发生数据丢失的情况，也就是客户作为合同中的债权人并没有过错，应该按照公平责任让SaaS给予客户一定补偿。